17. Juli 2020, von Cornelia Sasse
Mit Einführung der DSGVO wurden die Prüf- und Überwachungsaufgaben des DSB stark erweitert. Um allen neuen Anforderungen gerecht werden zu können und gleichzeitig die bisherige Beraterrolle weiter auszufüllen, braucht es Sparringspartner im Unternehmen und Instrumente und Methoden als praktikables Handwerkszeug. In diesem Workshop profitieren Sie von wertvollen Impulsen und praxiserprobten Vorgehensweisen, die sich auf jede Firmengröße und damit verbundene Anforderungen anwenden lassen.
Ist es Ihnen als betrieblicher oder externer Datenschutzbeauftragter auch schon häufig so gegangen, dass Sie sich zwar relativ rechtssicher in der Auslegung der DSGVO Anforderungen fühlen, Ihnen aber der Ansatz für eine pragmatische und bestenfalls bereits erprobte Umsetzung fehlt? Haben Sie in stundenlangen Meetings mit Ihren Geschäftsführungen und Fachabteilungen zwischen Lösungsansätzen und der Frage „Wie soll ich das als DSB denn alles allein schaffen?“ geschwankt? Hat Ihr Management nicht gerade erst, ganz langsam und nachdem Sie all Ihre Beraterqualitäten an den Tag gelegt haben, verstanden, dass Datenschutz nicht ein Nice-to-have, sondern ein marketingfähiges Must-have ist?
Gestehen wir es uns doch ein, wir sind als Datenschutzbeauftragte in unserem Unternehmen doch viel lieber der Berater, der Enabler, der für alles einen machbaren Weg findet, der die Geschäftsführung vorbei an Grauzonen in das helle Licht des Datenschutzes geleitet. Und jetzt, zwei Jahre nach Einführung der DSGVO, ertappen wir uns bei dem Gedanken, dass es höchste Zeit ist, in unsere gestärkte Rolle als Überwacher und Prüfer zu schlüpfen. Nicht so einfach, wie gedacht!
Bleiben wir mal bei der Metapher der akrobatischen Übung: da gibt es den Längsspagat, bei dem das eine Bein nach vorn und das andere nach hinten abgespreizt wird. Aha! Mit einem Bein bin ich also noch mitten in der Datenschutzberatung, da ist das andere schon weit vorn in der Überprüfung. Das muss ich erst üben, dafür bin ich scheinbar nicht auf Anhieb sportlich genug. Nach vielen, oft schmerzhaften Übungsstunden komme ich der Figur eines ansehnlichen Spagats endlich etwas näher. Wo ich gestern noch fachkollegial und dennoch mit der gebotenen Neutralität beratend unterwegs war (es ist schon manchmal unfair, dass wir Datenschutzbeauftragten nicht parteiisch sein dürfen, denn dann würden wir unseren Kollegen sich er öfter mal die eine oder andere verrückte App ausreden, nicht wahr?), klopfe ich heute und kündige einen Review (klingt deutlich weniger furchteinflößend als Überprüfung) an.
Meistens wird mir aufgetan und die Kollegen erinnern sich an die seinerzeit doch so hilfreiche Beratung. Häufig gibt’s aber auch Kopfschütteln darüber, dass ich schon wieder um die Ecke biege, schließlich habe man mir doch schon einmal alles erklärt und gezeigt. Ich lerne also schnell, dass es auf den richtigen Zeitpunkt und eine priorisierende Auswahl der zu überprüfenden Verarbeitungen oder Applikationen ankommt. Dabei wäge ich ab zwischen Kritikalität der Datenverarbeitung im Geschäftskontext und schutzwürdigen Interessen der Betroffenen. Aber ich weiß auch, dass ich diese Aufgaben nicht allein stemmen kann und auch gar nicht muss.
Als ich meine ersten Gehversuche im Datenschutz machte, war ich sehr ehrgeizig und wollte immer alles allein bewältigen und jede Herausforderung erfolgreich meistern. Heute bin ich noch genauso ehrgeizig, aber ich habe gelernt, dass es ohne die Unterstützung anderer Kollegen kaum geht. So profitiert meine Arbeit heute vom Zusammenspiel mit der Revision, der Informationssicherheit, den Betriebsräten und allen voran meinen „verlängerten Armen“, den Datenschutzkoordinatoren in den Fachbereichen.
Über diese äußerst positiven Erfahrungen möchte ich in meinem Workshop mit Ihnen sprechen. Und ich bin schon sehr gespannt zu hören, wie Sie in Ihrem Unternehmen oder Ihrer Behörde mit Ihren Sparringspartnern umgehen. Wie ticken diese? Wo läuft es hervorragend, wo vielleicht etwas zähflüssig? Sie machen mich jetzt schon neugierig!
Überwachungsaufgabe hin – Prüfauftrag her, das klingt doch zunächst recht theoretisch. Und es liest sich in der DSGVO auch genauso. (Zitat. Art. 39 DSGVO: „Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten…“). Damit kann ich nicht wirklich etwas anfangen. Ich brauche Instrumente und Methoden, die mir dabei helfen, zu verstehen, wie unser Unternehmen, unsere Konzerngesellschaften, unsere Fachabteilungen den Datenschutz umsetzen.
Das muss smart sein, also
Mit Self-Assessments, die sich entlang den Anforderungen der DSGVO hangeln, Handlungsempfehlungen, die den Kollegen Umsetzungssicherheit geben und Audits, die einen tieferen Einblick ermöglichen, wo dieser erforderlich ist, habe ich einen ganz passablen und vor allem praxiserprobten Werkzeugkasten an der Hand, mit denen auch Sie Ihre alltäglichen Herausforderungen leichter schultern.
Es muss ja nicht immer alles kompliziert und scheinbar schwierig sein im Datenschutz. Manchmal helfen auch ganz simple Methoden, sich den Datenschutzrisiken eines Unternehmens zu nähern und diese zu verstehen. Und gleichzeitig zu managen!
Erinnern Sie sich noch daran, wie Sie in Ihrem Unternehmen die Verarbeitungen für das seinerzeitige Verfahrensverzeichnis erhoben haben? Kein toller Job, oder? Ich meine das ganz ehrlich, konnte dieser Aufgabe zunächst nichts Spannendes abgewinnen. Aber als wir dann mit der DSGVO das Thema nochmals angepackt und wesentlich vertieft haben, begann es plötzlich größeren Sinn zu gewinnen und damit auch interessanter zu werden.
Es galt also, alle Prozesse, in denen personenbezogene Daten verarbeitet werden, im Verzeichnis der Verarbeitungstätigkeiten festzuhalten. Ein ziemlicher Dokumentationsaufwand und ein häufig tückisches Unterfangen, wie sich schnell herausstellte. Zuständigkeiten? Verantwortlichkeiten? Einer schiebt’s doch gern dem anderen zu. Also mit behutsamem Vorgehen und der Erkenntnis, dass es äußerst nützlich ist, die Risiken einer Verarbeitung bei der Erhebung direkt mit zu erfassen, ging es schon wesentlich besser. Wir entwickelten einen Meldebogen für unsere Fachabteilungen, in denen diese Risikoerhebung detailliert enthalten ist und jedem Prozessverantwortlichen unmittelbar Aufschluss darüber gibt, ob und inwiefern Verarbeitungsrisiken vorhanden sind und gemanagt werden müssen. Bestenfalls in einer Datenschutzfolgenabschätzung enden.
Mit viel Übung und Durchhaltevermögen zum erfolgreichen Spagat im DSB-Alltag – nehmen Sie diese Herausforderung an? Dann freue ich mich auf Sie in unserem Workshop! Bis dahin bleiben Sie gesund und immer motiviert!
Cornelia Sasse ist zertifizierte Datenschutzbeauftragte (GDDcert.) und Mitglied der Hamburger Datenschutzgesellschaft e.V. und blickt auf eine über fünfzehnjährige Tätigkeit im Datenschutz zurück. Sie begleitete in der Vergangenheit u.a. Gesetzesnovellen zu den Schwerpunkten Auskunftei und Scoring sowie zu den DSGVO Herausforderungen als Sachverständige im Deutschen Bundestag.
FFD Forum für Datenschutz
eine Marke der TALENTUS GmbH
Friedrichstraße 16-18
65185 Wiesbaden
Telefon 0611 23 600 50
info@ffd-seminare.de